伊势 2.1和WSA pxGrid与自签名证书的集成

在先前的博客文章中,我使用CA签名证书配置了pxGrid与StealthWatch和ISE的集成。在这篇博客中,我将使用自签名证书来进行配置,以使StealthWatch能够使用ISE缓解网络上的威胁。

为了确保它可以与ISE一起使用,在开始之前,应配置以下内容:

  • 导航 行政>System>Certificates>System 证明书 并确保ISE中的默认自签名证书用于pxGrid:
  • 导航 行政>System>Deployment>伊势节点 并确保已启用pxGrid Persona
  • 通过导航到,确保ISE节点将自动批准新帐户。 行政>pxGrid 服务>Settings (或在ISE 2.0及更低版本中,只需导航至 行政>pxGrid 服务 然后点击 启用自动注册 在顶端)

 

完成后,导航到 行政>System>Certificates>System 证明书 并选中自签名证书旁边的框。请点击 出口.

 

导出证书时,选择单选按钮 仅出口证书 然后点击 出口。

 

在浏览器中打开StealthWatch管理中心,然后单击 管理员用户>Administer Appliance。然后导航到 组态>Certificate Authority 证明书. 在此屏幕上,您将ISE自签名证书上传到受信任的CA证书存储,如下所示:

 

导航 组态>Services 并以root用户身份通过​​SSH访问您的StealthWatch管理中心。完成此操作后,使用Putty SSH到StealthWatch管理中心并发出以下命令:

openssl genrsa -des3 -out selfsmc.key 2048
在发布此密钥时,它会要求您输入密码。我刚刚结束ISEc0ld,因为这很容易记住。 

颁发密钥后,我们将通过发出以下命令来创建证书签名请求:

openssl req-新-key selfsmc.key -out selfsmc.csr

它将要求密钥(ISEc0ld)的密码短语,然后为CSR输入一些基本参数。需要注意的一件事:最后,如果您想使用一个挑战密码,它将要求输入一个可选的挑战密码。我选择保留此空白,因为它是可选的

接下来,我们将通过发出以下命令来创建自签名SMC证书:

openssl x509 -req -days 365 -in selfsmc.csr -signkey selfsmc.key -out selfsmc.cert

它将再次询问您密钥的密码(ISEc0ld)

接下来,我将使用以下内容解密密钥:

cp selfsmc.key selfsmc.key.org
openssl rsa -in selfsmc.key.org -out selfsmc.key

它将再次要求输入密钥密码(ISEc0ld)

完成后,使用WinSCP通过SCP连接到StealthWatch管理中心,并将刚刚创建的文件复制到本地磁盘:

 

在您的浏览器中,如果还没有,请导航回到StealthWatch管理中心。然后点击 管理员用户>Administer Appliance 然后导航到 组态>SSL Certificate

向下滚动到SSL身份证书字段,然后上传您刚刚在 目标证书文件 字段,然后将密钥文件上传到 私钥 领域。 

 

在ISE中,导航至 行政>System>Certificates>Trusted 证明书 然后点击 进口:

上载我们刚刚创建的SMC .crt文件,并确保将其信任以进行身份​​验证:

 

在StealthWatch管理中心中,返回到仪表板,然后导航到 部署>Cisco 伊势 组态 (如果使用6.8)或 工具类>Cisco 伊势 组态 (如果使用6.7):

填写以下信息:

  • 群集名称-可以是您的ISE服务器的名称或其他名称
  • SMC Syslog端口-默认为3514。这是ISE将通过其发送日志的端口 
  • 伊势用户名和密码
  • 主要ISE节点和IP地址

请点击 完成时

如果连接成功,您将获得以下弹出窗口:

如果所有配置均正确,则应该有一个绿色圆圈,表明您与ISE的通信已建立,并且 添加思科ISE缓解措施 按钮。单击该按钮。

在“思科ISE缓解”屏幕上,从下拉列表中选择SMC自签名身份证书,然后添加ISE主管理节点和(可选)辅助PAN节点的名称和IP地址。请点击 完成时。

应该弹出以下弹出窗口:

 

在ISE中,导航至 运作方式>自适应网络控制>Policy List 然后点击 。我们将在此处创建ANC政策:

由于我们将使用ISE和StealthWatch进行隔离,因此请命名您的ANC策略 隔离 而应该采取的行动是 隔离。请点击 提交.

在ISE中导航至您的策略,应该有一个 例外情况 根据您的授权政策。创建以下异常规则:

名称: 非国大 - Conditons: 时段:EPSStatus EQUALS隔离 然后: 拒绝访问 (或您希望隔离端点具有的任何结果)

 

注意:如果您使用的是“策略集”,则“全局例外”策略将位于左侧的“ 政策>Policy Sets:

导航 行政>pxGrid 服务>Clients 现在您应该在客户下看到您的SMC。选中SMC客户端旁边的框,然后单击 按钮:

除掉 基本的 分组并添加 每股收益 组。请点击

您的SMC客户端现在是Endpoint Protection 服务组的一部分,如下所示:

接下来,我们将配置日志记录。导航 行政>System>Logging>Remote 记录中 Targets 然后点击 加:

使用StealthWatch命名远程目标,以便您轻松识别它。确保IP地址是SMC,端口是3514,因为这是我们在StealthWatch中配置的。请点击 提交 等结束了。

然后导航到 行政>System>Logging>Logging Categories 并将远程日志记录目标添加到以下类别:

  • 通过认证
  • RADIUS记帐
  • 行政和运营审计
  • 专家

 

现在您已完成配置。您应该能够通过ISE从StealthWatch隔离和隔离。如果您返回StealthWatch并导航至 监控>Hosts 并拉起主机,您应该看到该主机的“隔离”和“取消隔离”按钮: